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从 内 容 安全 到 行为 安全 
--- 历 史 辩 证 论 的 新 视角 看 网 络 空间 安全 
周 琳 娜 


北京 邮电 大 学 2019 年 12 月 13 日 
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闻名 全 球 的 “电报 ” 一 re 
沙 


。Telegram messenger 

。 非 僵 利 ， 不 流 谍 ， 轻 量 级 

。 想 用 瓯 用 ， 不 用 残 删 

“ 不 留任 何 用 户 信 息 (包括 
通信 内 容 和 身份 信息 ) 

” 不 搓 绑 任何 应 用 Telearam 

. pavle 兄 弟 开发 (俄罗斯 的 站 
扎 克 伯 格 ) 

。 加 密 通信 认证 算法 
RSA2048， 加 密 算 法 
AE9S256 

。 吸引 大 量 了 恐怖 分 子 和 不 干 
好 事 的 人 使 用 Start Messaging > 


The world's fastest messaging app. 
lt is free and secure. 
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“ 金 情 ”入 听 器 


震动 腊 
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冉 来 看 看 他 们 的 历 害 工具 


了 网络 与 信息 安全 防护 峰会 


TOP SECRETIICOMINTWREL TO USA, FVEY 


(TSHSWREL) COTTONMOUTH-L(CM.D) is a Universal Serial Bus (USB) hardware implant 
Which will pfovide a wireless bridge into a target network as Well as the abilky to load exploit 
software onto target PCs. 


-一 一 一 一 


(TSISWREL) CM-I will provide air-gap bridging, Software persistence capability, "in-field" re- 
programmability, and covert communications with a host software implant over the USB，The 
RF link will enable command and data infiltration and exfltration。CM-| will also communicate 
with Data Network Technologies (DNT) software (STRAITBIZARRE) through a covert 
channel implemented on he USB, using this communication channel lo pass commands and 
data between hardware and sofware implants。 CM-I will be a GENIE-compliant implant 
based on CHIMNEYPOOL. 

(TSJWSWREL) CM-! conceals digital components (TRINITY), USB 1L1 FS hub, switches, and 
HOWLERMONKEY (HM) RF Transceiver within the USB Series-A cable connector 
MOCCASIN ithe version permanenily connected lo a USB keyboard，Another version can 


be made with an unmodified USB connector ai the other end。、 CM-| has the abilty to 
communicale !O other CM devices over the RF link using an over-the-aifr protocol called 
corrowwoum cowop 

TERMNET Scenana 


SPECULATION. 


Status: Availability -January 2009 
POC: | S3223, 有 
ALT POC: | S3223, 四 和 


TOP SECRETICOMINTWREL TO USA, FVEY 


Unit Cost 50 units: $1.015K 


COTTONMOUTH-I 


ANT Product Data 


警惕 一 一 看 看 NSA 的 工具 


。 COTTONMOUTH-| 
。 水 量 蝶 一 代 

一 。 一 种 USB 硬 件 植 入 ， 

它 能 通过 UseB 与 主机 

植 入 的 数据 网 络 技术 

(DNT) 软件 进行 通 

言 ， 将 命令 和 数据 导 


入 或 导出 。 


Denved Fromz NSAICSSM 1.52 
Dated 


Declassify On: 20320108 
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警惕 一 一 看 看 NSA 的 工具 


eeeoeoreromann .RAGFEMASTER 


RAGEMASTER 


ANT Product Data @ 狂暴 大 师 


(TSW/SWREL TO USA,FVEY) RF retro-reflector that provides an enhanced radar ”一 
cross-section for VAGRANT collection. Ifs concealed in a standard computer video 


graphics array (VGA) cable between the video card and video monitor. Its typically | 24 Jul 2008 止 口 
installed in the ferrite on the video cable- | RE 人 名 
5 | @ 的 疝 \ 
({U) capabilities 水 全 1 
(TSISWREL TO USA,FVEY) RAGEMASTER provides atargetfor RF flooding 以 
and allows for easier collection of the VAGRANT video signal. The current 一 习 AN 
RAGEMASTER unit taps the red video line on the VGA cable. lt was found that, 女 十 A | 
empirically, this provides the best video return and cleanest readout of the Te 了 
monitor contents- N 愉 四 Z 一 一 一 
一 一 二 一 ”mw 一 | 

可 以 堆 取 显卡 到 显示 

7 2242 二 000 口 -号 N AN 
AN 
004 器 的 信号 ， 并 通过 

心 ” NIGHTSTAND 等 扩 
1411 
计 你 SS The RAGEMASTER taps the red video line 本 段 “ 米 人 办 吕 对 | JU 


between the video card within the desktop unit and the computer monitor, 
typically an LCD. When the RAGEMASTER is iluminated by aradar unit the 4 | mm | 
王 。 


iluminating signal is modulated with the red video information. This informalion 
is re-radiated, where iis picked up at the radar, demodulated, and passed 
onto the processing unit, such as aLFS-2 and an external monitor, 
NIGHTWATCH, GOTHAM, or (in the future) VIEWPLATE. The processor 
recrealtes the horizontal and vertical sync of the targeted monitor, thus allowing 
TAO personnel to see what is displayed on the targeted monitor. 


Unit Cost $30 

Status: Operational，Manufactured on an as-needed basis，Contact POC for 

availability information 。 

PoCc: | <32243. IE. 国 国 国 eved Fromc wsNcssw 2 


Dated: 20070103 
Declassiy om: 20320108 


TOP SECRETWCOMINTWHREL TO USA, FVEY 
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警惕 一 一 看 看 NSA 的 工具 
RAR vIRATEMONK 


ANT Product Data > 女 又 吕 
于 友 奴 借 但 


(TSWSWREL) IRATEMONK provides software application persistence on desktop 


RE 2 ”一 种 恶意 软件 ， 可 通 
过 硬盘 主 引 导 记 录 
(MBR) 著 换 植 入 硬 
盘 固件 ， 进 而 达到 党 
驻 系统 内 人 的 目的 。 


TSUSWREL) IRATEMONK Extended Concept of Operations 


(TS/SWREL) This technique Supports systems without RAID hardware that boot 站 和 
from avariety of Western Digital, Seagate, Maxtor, and Samsung hard drives,. The 
Supported fle Systems are: FAT, NTFS, EXT3 and UFS. 


(TSW/SWREL) Through remote access or interdiction, UNITEDRAKE, or 
STRAITBAZZARE are Used in conjunction with SLICKERVICAR to upload the hard 
drive firmware onto the target machine to implant IRATEMONK and its payload (the 
implant installer). Once implanted, IRATEMONK's frequency of execution (dropping 
the payload) is configurable and will occur when the target machine powers on. 


Status: Released / Deployed. Ready for Unit Cost: 3S0 

Immediate Delivery 

Poc- 32221. 国 玫 9 oonved pone NSNCssw lsz 
Dated: 20070108 


TOP SECRETWHCOMINTWREL TO USA, FVEY 
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警惕 一 一 看 看 NSA 的 工具 
es 
5 ANT 四 Data 交换 


(TSWHISWREL) SWAP provides software application persistence by exploiting the 


一 种 针对 BIOS 的 恶意 
软件 ， 可 绕 过 操作 系 
统 保护 修改 BIOS 内 容 ， 
以 保护 受害 计算 机 上 
恶意 软件 持续 运行 。 


(TsIISWIREL) SWAP Extended Concept of Operations 1040 人 


(TSWSWREL) This technique Supports single or mult-processor Systems running 4 是 
Windows, Linux, FreeBSD, or Solaris with the following file systems: FAT32, NTFS， A 
EXT2, EXT3, or UFS 1.0， 


(TSWSWREL) Through remote access or interdiction, ARKSTREAM is used to re- 
flash the BIOS and TWISTEDKILT to write the Host Protected Area on the hard 
drive on atarget machine in order to implant SWAP and its payload (the implant 
installe[). Dnce implanted, SWAP's frequency of execution (dropping the payload) is 
configurable and will occur when the target machine powers on. 


Status: Released / Deployed. Ready for Unit Cost: 30 

Immediate Delivery 

POC: 有 <32221,. 国生 Denved From: NSACSSM 1.52 
Dated: 20070108 


TOP SECRETWHCOMINTWREL TO USA, FVEY 
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警惕 一 一 看 看 NSA 的 工具 


eeoerenoerm .DROPOUTJEEP 


DROPOUTJEEP 


CN ANT ProductData 出 东 -证 这 
(TSWSWREL) DROPOUTJEEP is a STRAITBIZARRE based software implant for 听 一 | 


the Apple iPhone operating system and uses the CHIMNEYPOOL framework. 
DROPOUTJEEP is compliant with the FREEFLOW project, therefore itis supported 1010108 


”“ 植 入 苹果 iPhone 的 恶 
意 软件 ， 可 提供 专 站 
的 情 所 收集 功能 。 


Retrieves 
requested 
SIGINT data 


4 
ET RE 4401 
44001 
(UWFOuUo) DRoPOUTJEEP - Operational Schematic 】 004 
(TSWSWREL) DROPOUTJEEP is a software implant for the Apple iPhone that 0000 1 
utilizes modular mission applications to provide speciffc SIGINT functionality.This 
functionality includes the ability to remotely pushy/pull files from the device, SMS 
retrieval, contact list retrieval, voicemail, geolocation, hot mic, camera capture, cell 100 


1ower localtion, etc，Command, control, and data exfiltration can occur over SMS 格 
messaging or a GPRS data connection，All communications with the implant will be 4 | 
covert and encrypted. 7 


(TSWSWREL) The initial release of DROPOUTJEEP will focus on installing the 


implant via close access methods，A remote installation capability will be pursued 
for a future release. 


Unit Cost: S0 
Status: (U) In development 


POC: UIFOUO 国有 用 <32222. 国 国 ma 


TOP SECRETWICOMINTWREL TO USA, FVEY 
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警惕 一 一 看 看 NSA 的 工具 


AN SECRETIICOMINTUWREL TO USA, FVEY GO 日 O P 日 E RS ET 


GOPHERSET 
ANT ProductData 松 鼠 集 


(TSWSWREL) GOPHERSET is a software implant for GSM (Global System for 二 
Mobile communication) subscriber identify module (SIM) cards，This implant pulls 


| [| | JJ 呈 打 ， 地 性 亚 

二 了 制 手机 把 手机 通 击 录 、 

> 0441 短信 等 言 息 友 大 到 指 
4401 


(TSWSWREL) Moder SIM cards (Phase 2+) have an application program interface 4 4 四 
known as the SIM Toolkit (STK). The STK has a suite of proactive commands that 


allow the SIM card to issue commands and make requests to the handset. 

GOPHERSET uses STK commands to retrieve the requested information and lo 0400 
exfiltrate data via SMS，、After the GOPHERSET fle is compiled, the program 和 
loaded onto the SIM card using either a Universal Serial Bus (USB) Smartcard 和 
reader or via Over-the-air provisioning， In both cases, keys to the card may be 人 
required to install the application depending on the service provider's security 
configuration - 


Unit Cost S0 
Status: (UWFOUO) Released，Has not been deployed. 
POC: U/FOUO 国王 <32222,EE9 加 国 国 于 


TOP SECRETICOMINTWHREL TO USA, FVEY 
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和 警惕 -一 一 看 看 NSA 的 工具 
把 二 NIGI HTST AND 。NIGHTSTIAND 
Wireless ER Tool 。 放 头 柜 


(TSWSWREL) An active 802.11 wireless exploitation and injection tool for 
payload/exploit delivery into otherwise denied target space. NIGHTSTAND is 


typically used in operations where wired access to the target is not possible. 506 < 

Beattefed Tested Widows Euaton > Sndalone System 四 便 伐 也 元 线 破解 工具 
as 箱 ， 可 实现 无 线 破解 、 

-aa 远程 传输 、 

效 据 中 继 等 功能 。 在 

放大 器 文 持 下 ， 中 继 


传输 距离 可 达 8km。 


> (TSWSIUWREL) Exploitable Targets 
include Win2k, WinXP, WinXPSP1， 
WINXPSP2 running internet Explorer 
versions 5.0-6.0. 


> (TSISIWREL) NS packet injection can 
target one client or multiple targets on a 
Wireless network. 


> (TS/ISWREL) Attack is undetectable by 
the user-. 


NIGHTSTAND Hardware 4 
(TSW/SWREL) Use of external amplifiers and antennas in both 
experimental and operational scenarios have resulted in Successful 
NIGHTSTAND attacks from as far away as eight miles under ideal 
environmental conditions. 


Unit Cost: Varies from platform to platform， 


Status: Product has been deployed in the field. Upgrades to the system continue to 
be developed 


POCc: IE <32242, 加 天 天 加 天 一: Denved Fromc NSACSSNM 1.52 


TOP SECRETWICOMINTWREL TO USA, FVEY 


册 fana Jecerypt0r 2.0 


5162017 02:26:59 


Time Left 


5202017 02:26:59 


Time Left 


如 out biteoin 


0oops, your files have been encryptedl [as Gm 


我 的 电脑 出 了 什么 问题 ? 

和 您 的 一 些 重要 文件 被 找 加 密 保存 了 。 

照片 、 图 片 、 文档、 压缩 包 、 彰 频 、 视频 文件 ”exe 文件 等 ， 几 乎 所 有 类 型 的 
件 都 被 加 路 了 ， 因 此 不 能 正常 打开 。 

这 和 一 般 文件 损坏 有 本 质 上 的 区 别 。 您 大 可 在 网 上 找 找 恢复 文件 的 方法 ， 未 政 

保证 ， 没 有 我 们 的 解密 服务 ， 就 个 老 天 季 来 了 也 不 能 恢复 这 些 文档 。 


有 没有 恢复 这 些 文档 的 方法 ? 

当然 有 可 居 旧 的 方法 ， 只 能 浊 过 找 们 的 解 服 务 才能 恢复 。 抄 以 人 格 担保 ,能 
提供 安全 有 效 的 做 服务 。 

8 这 是 收费 的 ， 也 不 能 无 限期 的 推迟 。 


清点 击 <Decrypt> 按钮 ， 就 可 以 免费 恢复 一 此 文档。 请 您 放心 ， 白 是 绝 不 会 
号 你 的 。 
但 想 要 钦 复 全 部 文档 ， 需 要 付款 点 费用 


是 否 随时 都 可 以 固定 金额 付款 ， 就 会 恢复 的 加 ， 当然 不 是 ， 推 迟 付款 时 间 越 长 


坟 费 用 ， 过 了 三 天 寓 用 就 会 翻 倍 。 


和 将 会 永远 恢复 不 了 。 
避 告诉 你 ， 对 半年 以 上 没 钱 付款 的 穷人 ， 会 有 活动 免费 恢复 ， 能 否 轮 可 


itcoin 
人 bitcoin 13AM4VW2dhxYgXeQepoHkHSQuy6Ng3aEb94 图 


。WannaCry 


。 二 “蠕虫 式 ” 的 勤 
毒 软件 
. 不 法 4 分 子 利用 NSA 


(National 
Agency， 志 | 

玄 全 局 ) 泄 项 的 危险 
洞 “EternalBlue' 
人 下 之 监 ) 进行 传 
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再 回想 一 下 校 镜 .. 之 梧 属 so 昌 ”天 


10 月 24 日 
灰 《明镜 》 周刊 曝光 美国 向 英 《 卫 报 》 披 露美 国 
监视 目标 清单 ， 中 俄 为 安 局 监听 35 个 国家 和 地 
最 高 监视 目标 区 领导 人 ， 包 括 德 法 等 
7 月 31 日 传统 欧洲 盟友 
再 爆 美 “X 关 键 分 ”监控 项 
8 月 1 日 
俄 批准 临时 避难 申请 
进入 俄 境内 


7 月 12 日 
与 俄 杜 马 议 员 和 国际 人 权 组 
织 代 表 、 知 名 律师 等 会 面 


付 6 月 5 日 
议 Se 向 英国 《 卫 报 》 曝 光 
8 6 月 30-7 月 2 日 美 “ 层 镜 ” 监控 硕 目 
6 月 24 晶 2 
余 个 国家 提 由 香港 前 往 莫斯科 
请 爆料 美国 安 局 入 侵 并 持续 
攻击 我 境内 企业 和 入 关机 


构 网 络 
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革 认 厂 登 的 爆料 要 操 


、 美 国 通过 电信 公司 监控 所 有 美国 用 户 电话 记录 (元 数据 ) 
、 棱 镜 计划 一 一 与 九 大 公司 的 监控 合作 

、NSA 曾 攻击 包括 香港 和 我 国 等 多 个 企业 与 电信 和 运 曹 
、NSA 与 GCCHQ 的 合作 ， 互 相 帮 助 提供 监控 

、NSA 曾 监听 多 个 外 国 领 导 人 的 电话 

、XKeysScore: 能 够 “看 到 一 个 人 在 互联 网 上 所 作 的 一 切 ” 
、NSA 曾 党 试 破 解 加 密 算法 ， 在 安全 协议 中 预 置 后 门 

、NSA 的 黑客 精英 部 队 : TAO 

。9、NSA 曾 渗透 攻击 进入 谷歌 和 雅虎 的 数据 中 心 

。10、 监 控 全 美 短信 数据 ， 轻 易 破 解 手 机 通信 

。 11、 美 国 可 监听 巴哈马 和 阿富汗 全 国 的 所 有 电话 

。 12、 美 国 曾 入 侵 SIM 卡 制造 商 金 雅 拓 窃 取 密 钥 


ee ee ee ee ee。 e。 。 
oo ~l|QOJ 人 WwWw 入 一 
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监控 能 力 


应 建立 多 层次 、 全 方位 的 网 络 空间 监控 能 


星 风 项 目 
STELLARWIND 


核子 项 目 核 镜 项 目 证 这 项 目 码头 项 目 
NUCLEON PRISM MAINWAY MARINA 


。 “棱镜 ”和 “核子 ”负责 截取 内 容 

。 “核子 ” 截获 电话 通话 者 对 话 内 容 及 关键 词 

。 “ 核 镜 ” 用 于 监视 互联 网 ， 从 包括 微软 、 份  。 
歌 、 雅 虎 、Facebook、PalTalk、AOL、Skype、 
YouTube 以 及 半 果 等 美国 IT 巨头 的 公司 服务 器 
上 收集 个 人 信息 


“主干 道 ” 和 “码头 ” 对 “元 数据 ”进行 存 
储 和 分 析 

“主干 道 ” 监视 电话 信息 ， 包 括 通话 或 通信 
的 时 间 、 地 点 、 使 用 设备 、 参 与 者 ， 但 不 会 
窃听 通话 内 容 

“码头 ” 监控 电子 邮件 、 网 上 聊天 系统 以 及 
其 他 借助 互联 网 交流 的 媒介 
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OOOMANO RN 导 hotmail Coo glke RSIRPieyp talk 贸 be 
CMail aocr 簿 一 本 AOLEmail 和 


smsWwpDDates When PRISM Collectlon 
an For Each Provlider 


_PRISM | Program Cost': ~ 
$20M per year 


2007 2008 2009 2010 2011 2012 2013 
TOP SECRETWSINWORCONWNOFORN 
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情报 尖 目 NSA 
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美国 中 央 情 报 局 〈CIA) 


革命 的 颠覆 者 


中 亚 “ 颜 


97 
三 二 可 站 


1 


2 S 
gg 轴 b tw 关 阐 Yu 
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美国 国土 安全 部 〈DHS ) 


一 一 美国 网 络 安全 的 捍卫 者 全 林 执行 国家 网 络 安全 战略 。。 开展 信息 安全 战略 政策 评 
|， 估 - 


for he 44th Presideney 


SECURE 
CYBERSPACE 


推进 国家 信 人 


[sc sor vahdated Tools schr Eve Aied Contod wendor commeni 


National Vulnerability Database Version 2.2 


he 1 5_gevernmant repostory of sendarda baaed wdnerabhty ranagenent da 

nagewent Te re SSGunty Centent Autonuton Proocol (SCAP)， 有 

ta Tha data enables of mneraedy magefpent specurtY ee329urement，2nd comphance 浊 

tation of 人 交 人 en 丰 0 全 05 全 Imftornatcion Techmnolosy 

acenfgwatorw proaxt namet and meat abc 了 
Sector Baseline Risk 


心 ssessmaemt 


ederml penhsep Cere Cenligaratton setangs (fpCc) 

ETRTRLTRTETRETJCITCoe wetTLeat 
Rnee ea 3 

ET Ch FCCC < ne 

SCaP FPCC Capable Toals me 


ve rmmam aaseanen 
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情报 分 析 与 行动 能 


NO 


ua 
是 门 eg 

击 5 他 目 

交流 * 合作 。 前 沿 实用 * 人 才 
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图 1 “信息 感知 与 信息 记录 子 空间 示意 图 图 2 信息 记录 与 信息 感知 区 域 的 关系 
广义 信息 隐藏 技术 的 机 理 与 模型 
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当 你 老 了 ， 回 顾 一 生 ， 就 会 发 觉 
什么 时 候 出 国 读 书 ， 

什么 时 候 决 定做 第 一 份 职业 ， 

何 时 选 定 了 对 象 而 恋爱 ， 
什么 时 候 结 婚 ， 

其 实 都 是 命运 的 巨变 。 


只 是 当时 站 在 三 岔路 口 ， 

眼见 风云 千 梯 ， 

你 作出 选择 的 那 一 日 ， 
在 日 记 上 ， 

相当 沉 闽 和 平凡 ， 

当时 还 以 为 是 生命 中 普通 的 一 天 
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